– 17 –
1
Einführung
– Überblick und Ausblick –
1.1
Eine zwiespältige Bilanz
Dieser 19. Tätigkeitsbericht (TB), den ich dem Deutschen
Bundestag vorlege, ist der fünfte und letzte in meiner Amtszeit als Bundesbeauftragter für den Datenschutz. Er gibt einen Überblick über meine Tätigkeit in den Jahren 2001 und
2002, die wiederum neben der datenschutzrechtlichen Kontrolle stark von der Beratung des Deutschen Bundestages,
der Bundesregierung und der öffentlichen Stellen des Bundes in Fragen des Datenschutzes geprägt war. Vieles konnte
zur Stärkung des Grundrechts auf informationelle Selbstbestimmung erreicht werden, in anderen Bereichen besteht
weiterer Handlungsbedarf, und es gibt immer wieder neue
Fragestellungen und Problemfelder, die einer datenschutzgerechten Lösung zugeführt werden müssen. Ein Tätigkeitsbericht kann deswegen immer nur eine Momentaufnahme
ohne abschließenden Charakter sein. Er gibt Rechenschaft
über die geleistete Arbeit und soll zugleich aufzeigen, wo
aus Sicht des Datenschutzes weitere Verbesserungen erforderlich oder zumindest wünschenswert sind.
Bei meiner Arbeit in den letzten zwei Jahren habe ich – auch
bei unterschiedlicher Position in der Sache – viel Verständnis und Unterstützung gefunden. Dafür danke ich den Mitgliedern des Deutschen Bundestages, aber auch den vielen
Vertretern in Regierung und Verwaltung, die meinen Rat in
Datenschutzfragen gesucht und angenommen und meine
Tätigkeit insgesamt unterstützt haben. Mein Dank gilt aber
auch den Mitarbeiterinnen und Mitarbeitern meiner Dienststelle, die mich mit unvermindert großem Engagement und
hoher Leistungsbereitschaft bei der Erfüllung meiner gesetzlichen Aufgaben unterstützen.
Auch der jetzige Berichtszeitraum hat wieder gezeigt, dass
das Gespür für die Belange des Datenschutzes in Politik und
Verwaltung, aber auch allgemein in der Gesellschaft, in den
Kreisen der privaten Wirtschaft und nicht zuletzt bei den
Bürgern, um deren Grundrechtsschutz es schließlich geht,
zwar weiter gewachsen ist, dem Datenschutz aber noch lange
nicht von allen der Stellenwert eingeräumt wird, der ihm als
Garant von Bürgerrechten in einem freiheitlichen Rechtsstaat zukommen sollte. Ursache dafür sind auch offenbar
sich wiederholende Vorurteile und Missverständnisse. Weder sind innere Sicherheit und Datenschutz zwangsläufig
Gegensätze, noch behindert Datenschutz effizientes Verwaltungshandeln oder stört die freie Entfaltung der wirtschaftlichen Kräfte und Möglichkeiten. Und auch die leider immer
noch vertretene Meinung, wer nichts zu verbergen habe,
brauche keinen Datenschutz, geht an der Sache völlig vorbei.
Eine Reihe von Punkten, die ich in meinem letzten Tätigkeitsbericht angesprochen habe, konnten im Berichtszeitraum gelöst oder zumindest einer Lösung näher gebracht
werden. Dies gilt aber leider nicht für alle Problemfelder,
die ich dort – zum Teil nicht zum ersten Mal – thematisiert
habe. So hat die Bundesregierung noch immer keinen Entwurf eines Arbeitnehmerdatenschutzgesetzes vorgelegt, obwohl sie hierzu vom Deutschen Bundestag mehrfach aufgefordert worden ist (vgl. Nr. 21.1). Auch zum unbefugten
Aufnehmen und Verbreiten von personenbezogenen Bilddaten steht eine gesetzliche Regelung weiterhin aus, obwohl
die Regelungsbedürftigkeit allgemein anerkannt wird (vgl.
Nr. 8.1). Die Zahl der Telefonüberwachungen ist im Be-
richtszeitraum in Deutschland weiter deutlich angestiegen
(vgl. Nr. 8.2.5), ohne dass es hierfür eine für mich nachvollziehbare, befriedigende Erklärung gibt. Auch das hierzu in
Auftrag gegebene Forschungsvorhaben (vgl. Nr. 8.3) liegt
noch nicht vor. Diese Entwicklung erfüllt mich unverändert
mit großer Sorge. Wir dürfen nicht zulassen, dass sich in unserem Land schleichend und fast unbemerkt eine Überwachungskultur entwickelt, deren tatsächliche Notwendigkeit
nicht nachgewiesen ist.
1.2
Das neue BDSG – nur eine Etappe auf
dem Weg zur umfassenden Reform
des Datenschutzrechts
Im Juni 2002 konnte das 25-jährige Bestehen des Bundesdatenschutzgesetzes mit einem Festakt in Berlin gefeiert werden (vgl. Nr. 33.1). Ein Jahr davor ist endlich nach langem
Ringen das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze in Kraft getreten (vgl. Nr. 3.2),
das nicht nur die europäische Datenschutzrichtlinie 95/46/EG
vom 24. Oktober 1995 in nationales Recht umgesetzt, sondern darüber hinaus bedeutsame Neuerungen gebracht hat.
Wichtige Weichenstellungen für die Zukunft bedeuten nach
meiner Einschätzung die Verankerung des Grundsatzes von
Datenvermeidung und Datensparsamkeit im Gesetz, die
Einführung der Vorabkontrolle, das Verbot der automatisierten Einzelentscheidung, die Regelung zur Videoüberwachung und zum Einsatz von Chipkarten und die Einführung
des Datenschutzaudits.
Aber gerade dieser letzte Punkt zeigt den großen Unterschied, der zwischen der gesetzlichen Theorie und der praktischen Umsetzung bestehen kann. Denn die ins BDSG eingefügte Regelung zum Datenschutzaudit läuft so lange leer,
wie das erforderliche Ausführungsgesetz, das die Einzelheiten regeln soll, nicht in Kraft getreten ist. Bislang besteht
hierfür noch nicht einmal ein Entwurf (vgl. Nr. 3.2.1). Damit können sich aber auch die positiven Wirkungen, die den
Datenschutz zum Wettbewerbsvorteil machen und dadurch
in die technische und wirtschaftliche Entwicklung integrieren sollen, noch nicht entfalten. Im Gegenteil besteht die
Gefahr, dass auf dem Markt Auditierungsverfahren angeboten und eingesetzt werden, die dann später den gesetzlichen
Anforderungen nicht entsprechen, was zu Verwirrung und
Verärgerung bei Unternehmen und Verbrauchern führen und
letztlich der Akzeptanz des Datenschutzaudits schaden
kann.
Auch sonst ist die Umsetzung des neuen BDSG in der Praxis
noch lange nicht vollzogen. So hat eine Umfrage bei den
obersten Bundesbehörden zur Position des behördlichen Datenschutzbeauftragten bei ihnen selbst und in ihrem jeweiligen Geschäftsbereich (vgl. Nr. 3.2.5) teilweise noch deutliche
Defizite ergeben, obwohl der interne Datenschutzbeauftragte
auch für den öffentlichen Bereich zum Zeitpunkt der Erhebung seit über einem Jahr gesetzlich vorgeschrieben war.
Auch bei der Videoüberwachung zeigen sich Unsicherheiten
(vgl. Nrn. 3.2.2, 4.1), und noch lange hat nicht jede öffentliche Stelle Videokameras, die den öffentlich zugänglichen
Raum überwachen, entsprechend der gesetzlichen Vorschrift
kenntlich gemacht. Vergleichbare Vollzugsdefizite zeigen
sich auch bei nicht öffentlichen Stellen, und dies nicht nur bei
der Videoüberwachung. Von den Postdienst- und Telekommunikationsunternehmen abgesehen, gehören datenschutzrechtliche Kontrolle und Beratung nicht öffentlicher Stellen
BfD 19. Tätigkeitsbericht 2001–2002